Comprendre l’accès super utilisateur

  • 3 minutes

Le premier utilisateur créé lorsqu’un serveur Azure Database pour MySQL est créé est un Administrateur de service. Ce compte d’utilisateur dispose d’un accès Super utilisateur à toutes les ressources de l’abonnement, notamment la création d’utilisateurs, la surveillance du serveur, etc.

Étant donné qu’un compte administrateur dispose d’un accès total à toutes les ressources, vous devez limiter et surveiller les comptes administrateur. En particulier :

  • Conservez un inventaire de tous les comptes d’administrateur attribués.
  • Affectez un coadministrateur auquel fournir un accès lorsque le premier administrateur n’est pas disponible.
  • Limitez les comptes d’administrateur au nombre le plus restreint qui soit pratique. Si un compte d’administrateur est compromis, le hacker a un accès total au serveur.
  • Surveillez le comportement et suivez tout comportement anormal du compte.
  • Attribuez des comptes d’administrateur supplémentaires uniquement pendant la durée requise pour effectuer une tâche.

Notes

Les administrateurs sont ajoutés au niveau de l’abonnement, pas au niveau du serveur. Dans le Portail Azure, accédez à l’abonnement approprié. Dans le menu de gauche, sélectionnez Contrôle d’accès (IAM). Sélectionnez +Ajouter et Ajouter un coadministrateur.

Consultez Gérer les accès et les autorisations dans Azure Security Center pour obtenir des conseils sur le contrôle et la surveillance des comptes d’administration.

Notes

Cet article contient des références au terme esclave, un terme que Microsoft n’utilise plus. Lorsque le terme sera supprimé du logiciel, nous le supprimerons de cet article.

Cet utilisateur administrateur de serveur a les privilèges suivants :

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, 
INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, 
REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, 
ALTER ROUTINE, CREATE USER, EVENT, TRIGGER

Vous pouvez utiliser le premier compte administrateur du serveur pour créer d’autres utilisateurs et leur accorder un accès administrateur. Vous pouvez également utiliser le compte administrateur du serveur pour créer des utilisateurs possédant moins de privilèges et ayant accès à des schémas de base de données individuels.

Azure Database pour MySQL est un service, et les rôles ne sont pas tous pris en charge, en particulier :

  • Le rôle DBA est limité. Utilisez le compte d’utilisateur administrateur créé avec le serveur. Cela vous permet de procéder à la plupart des instructions DDL et DML.
  • Le privilège SUPER est limité. Utilisez le compte d’utilisateur administrateur créé avec le serveur.
  • Il n’existe aucun utilisateur racine dans Azure Database pour MySQL. Utilisez plutôt le rôle d’utilisateur Administrateur ou Propriétaire.

Notes

DEFINER requiert des privilèges de superutilisateur pour créer et est limité. Si vous importez des données à l’aide d’une sauvegarde, supprimez les commandes CREATE DEFINER manuellement ou avec la commande -skip-definer lorsque vous effectuez une opération mysqlpump.